Personvernbloggen

(Dette innlegget sto på trykk i Dagens Næringsliv 7. oktober 2019.)

Føyen og Langeland stiller seg kritiske til en mulig lovendring som de mener «vil gi Datatilsynet mer makt». De mistolker innholdet i lovendringen, unnlater å nevne bakgrunnen og hopper bukk over juridisk metode i samme slengen.

La oss begynne med å oppklare den største misforståelsen: Personopplysningsloven og GDPR er lovgivning både for publisert og ikke-publisert materiale. Ikke bare er loven teknologi- og kontekstnøytral, den har til og med en egen bestemmelse for sletting av publisert materiale (artikkel 17 nr. 2). At den særnorske og for lengst opphevede personregisterloven fra 1978 ikke omtalte publiseringer, har nok begrenset argumentasjonsverdi her.

Selv om loven gjelder publisert materiale, er det viktig at den respekterer retten til ytrings- og informasjonsfrihet. Samtidig må ytrings- og informasjonsfriheten respektere personopplysningsvernet. Derfor sier både GDPR, EU-domstolen og Den europeiske menneskerettighetskonvensjonen at når man skal gjøre unntak fra personopplysningsvernet av hensyn til ytringsfriheten, må man bare gjøre unntak i den grad det er nødvendig.EU-domstolen understreker dette med ordene «strictly necessary».

Slik den norske personopplysningsloven lyder i dag, skal man imidlertid ikke gjennomføre en nødvendighetsvurdering når man balanserer disse to rettighetene. Dermed står norsk lov i et spenningsforhold til våre EØS-rettslige og menneskerettslige forpliktelser, og det er vanskelig å gjøre nyanserte vurderinger. Det er dette som er bakgrunnen for lovendringen.

Lovforslaget som Justis- og beredskapsdepartementet har sendt på høring, inneholder to viktige endringer. For det første forslår departementet at det legges til en nødvendighetsvurdering når man skal gjøre unntak fra GDPR av hensyn til ytrings- og informasjonsfriheten. For det andre er det i dag et krav i personopplysningsloven om at formålet med en ytring må være «utelukkende» journalistisk, litterært, kunstnerisk eller akademisk for at man skal kunne gjøre unntak. Departementet foreslår nå å stryke ordet «utelukkende». Dermed kan det også bli lettere å gjøre unntak fra GDPR.

Med andre ord er det ikke entydig at lovendringen vil gi mer makt til Datatilsynet, siden den både hever og senker terskelen for unntak på samme tid. Ved å gjøre unntaksregelen mer fleksibel, blir den også lettere å bruke. Tidligere måtte Datatilsynet være tilbakeholden med å bruke unntaksregelen, for den var mekanisk og unyansert. Med den foreslåtte lovendringen kan unntaksregelen brukes i flere saker fordi det er mulig å foreta nyanserte avveiinger.

Føyen og Langeland trekker frem at andre regler enn GDPR kan verne mot uthenging på nett. Etter straffeloven er det straffbart å krenke privatlivets fred gjennom offentlig meddelelse. Skadeserstatningsloven åpner for erstatning for både privatlivskrenkelser og ærekrenkelser. I mange tilfeller er disse reglene bedre egnet til å løse problemet for den det gjelder.

Det finnes imidlertid tilfeller der disse reglene ikke treffer så godt. Publisering av opplysninger om en person er ikke alltid en krenkelse av privatlivets fred eller injurierende. Personopplysningsloven og GDPR skal sikre en viss kontroll over hvordan opplysninger om oss behandles, også utenfor privatlivets sfære. Videre kan det være mindre inngripende å fjerne innhold etter GDPR enn å kreve erstatning eller straff. Reglene må utfylle hverandre.